EternalRocks malware que utiliza los 7 exploits de la NSA

0
2652
views

n investigador de seguridad ha identificado una nueva variante de malware que también se propaga explotando fallas en el protocolo de intercambio de archivos SMB de Windows, pero a diferencia de WannaCry Ransomware que usa sólo dos herramientas de hacking de la NSA filtrada, esta explota las 7 que han sido filtradas.

.
ya se habia advertido sobre varios grupos de hackers que explotan las herramientas de hacking de la NSA, pero casi todos usaban sólo dos herramientas: EternalBlue y DoublePulsar.
Ahora, Miroslav Stampar, un investigador de seguridad que creó la famosa herramienta ‘sqlmap’ y ahora miembro del Gobierno croata CERT, ha descubierto un nuevo gusano de red, llamado EternalRocks, que es más peligroso que WannaCry y no tiene interruptor de apagado..
A diferencia de W

annaCry, EternalRocks parece estar diseñado para funcionar secretamente con el fin de garantizar que permanece indetectable en el sistema afectado.

 

Sin embargo, Stampar se enteró de EternalRocks después de infectar su honeypot SMB.

Los exploits utilizados de la NSA por EternalRocks que Stampar llamó “DoomsDayWorm” en Twitter, incluye:

  • EternalBlue – herramienta de explotación SMBv1
  • EternalRomance – herramienta de explotación SMBv1
  • EternalChampion – herramienta de explotación SMBv2
  • EternalSynergy – herramienta de explotación SMBv3
  • SMBTouch – Herramienta de reconocimiento SMB
  • ArchTouch – Herramienta de reconocimiento SMB
  • DoublePulsar – Puerta trasera

Mientras que EternalBlue, EternalChampion, EternalSynergy y EternalRomance son explotaciones SMB, diseñadas para comprometer equipos vulnerables de Windows.

Y, DoublePulsar se utiliza para difundir el gusano de un equipo afectado a otros equipos vulnerables a través de la misma red.

Como funciona el ataque?

La instalación de EternalRocks tiene lugar en un proceso de dos etapas.
Durante la primera etapa, EternalRocks descarga el navegador web Tor en las computadoras afectadas, que se utiliza para conectarse a su servidor de comandos y control (C & C) ubicado en la red Tor en la Web oscura.

“La primera etapa del malware es UpdateInstaller.exe (obtenido a través de la explotación remota con malware de segunda etapa) descargas componentes .NET necesarias. (para las etapas posteriores) TaskScheduler y SharpZLib de Internet, al dejar caer svchost.exe (ej ejemplo) y taskhost.exe ), “Dice Stampar.”

De acuerdo con Stampar, la segunda etapa viene con un retraso de 24 horas en un intento de evitar las técnicas de sandboxing, por lo que la infección de gusano indetectable.
Después de 24 horas, EternalRocks responde al servidor de C & C con un archivo que contiene las siete explotaciones SMB de Windows mencionadas anteriormente.

“El componente svchost.exe se utiliza para descargar, desempaquetar y ejecutar Tor desde archive.torproject.org junto con la comunicación C & C (ubgdgno5eswkhmpy.onion) solicitando instrucciones adicionales (por ejemplo, la instalación de nuevos componentes)”, agrega Stampar.
Todos los siete exploits de SMB se descargan a continuación al ordenador infectado. EternalRocks luego analiza Internet para puertos SMB abiertos para extenderse a otros sistemas vulnerables también.

[vía]

Toda la información proporcionada en este medio es para fines educativos, en ningún caso alguno se hace responsable e cualquier mal uso de la información. Toda la información es para el desarrollo e investigación de métodos de seguridad informática.

No olvides visitar nuestra hacking shop

shop